Центр исследования компьютерной преступности

home контакты

Угрозы в области информационной безопасности

Дата: 26.12.2007
Источник: Iemag.ru
Автор: Яков Шпунт


hack/Hack66.jpg В последние годы много говорят о том, что романтики-одиночки, писавшие вирусы или взламывавшие сети исключительно из любви к искусству либо из желания прославиться, давно ушли в прошлое. Сейчас правят бал те, для кого подобного рода средства — всего лишь один из способов обогатиться. Так что специалисты, отвечающие за информационную безопасность, теперь должны противостоять не любителям, пусть и самым что ни на есть высококвалифицированным, а матерым профессионалам.

Вредоносное ПО

Главной тенденцией в распространении вредоносного ПО по мнению участников конференции, которую издание Virus Bulletin провело в сентябре нынешнего года в Вене, стала криминализация Интернета. Однако это далеко не новость. Еще в 2004-м наблюдался всплеск атак на банки и букмекерские конторы, тогда же появился первый троянец-шифровальщик, автор которого пытался вымогать деньги у жертв заражения. Правда, сумма была на порядок выше, чем требуют сейчас. В том же году попытки кибер-рэкета, когда злоумышленники вымогали деньги за прекращение DDOS-атак, были зафиксированы и в России.

Причины такого положения дел, как считает старший вирусный аналитик из «Лаборатории Касперского» Виталий Камлюк, заключаются в следующем:

* прибыльность;
* простота исполнения (как с технической, так и с моральной точки зрения);
* низкий уровень риска, связанный прежде всего с экстерриториальностью сети;
* появление новых сервисов, которые выгодно атаковать.

Правда, третий пункт в этом списке можно и оспорить, что показывают далеко не единичные примеры заслуженных наказаний кибер-преступников за деятельность, которую они вели на территории совсем других стран. И к вирусописателям это относится в первую очередь, хотя в текущем году к ним добавились и спамеры. Так, длительные сроки получили автор червя «панда с благовонными свечами» и фишер, терроризировавший пользователей AOL. Было арестовано несколько международных групп фишеров, в отношении которых расследование пока продолжается. В одну из таких групп, обезвреженных в Германии, входили и граждане России.

В результате по оценке Виталия Камлюка 96% вредоносного кода является инструментом криминального бизнеса, направленного на кражу информации, рассылку спама, шантаж, атаки на ресурсы конкурентов. Сюда же относятся средства мошенничества и кражи виртуальных предметов в онлайновых играх, создание и продажа которых давно уже стали быстрорастущим и прибыльным бизнесом. Из оставшейся доли 3% приходится на концепты, где обкатываются и отрабатываются новые технологии, но особого вреда от них нет. Хотя такие вирусы обычно вызывают немалый шум в прессе. И только 1% вредоносного кода создаётся авторами для самоутверждения.

Но при этом глобальных эпидемий становится все меньше. Падает и ущерб от вредоносного ПО. Тем не менее, как заметил Владимир Мамыкин, директор по информационной безопасности Microsoft в России, это можно сравнить с тем, что преступники не взорвали весь дом, зато жильцов нескольких квартир по полной программе подвергают рэкету. А это означает, что в если среднем ущерб упал, то у пострадавших компаний он многократно вырос.

Новыми технологиями в вирусописательстве стали автоматическая генерация кода, виртуализация антивирусных средств, обфускация («замусоривание» кода, затрудняющее дезассемблирование) и использование упаковки. При этом в качестве упаковки иногда применяются незадокументированные API. Так, например, Trojan-PSW.Win32.Zbot использует функции сжатия NTFS- потоков, не отраженные в MSDN. Но при этом сама программа остаётся неизменной, меняются только используемые средства, затрудняющие обнаружение и обезвреживание троянца. Это происходит, по всей видимости, потому, что сами троянцы стали товаром, который продается и покупается. А покупать, естественно, предпочитает хорошо известный и проверенный товар, пусть даже и столь специфичный. Так что в скором времени можно ожидать, что количество вредоносных программ стабилизируется, а потом начнет уменьшаться. Тем не менее среднее «качество» продукции будет выше, а значит, возрастет и ущерб для жертв.

Тенденцию к уменьшению роста количества вредоносных программ подтверждает и тот факт, что для 42% всех фишинговых атак, по оценке Symantec, было задействовано всего три набора сценариев. При этом, все чаще приходится сталкиваться с «гибридами» спам-бота и троянца, где меняется только текст самого генерируемого письма.

Происходят заметные изменения и в том, что связано с деятельностью зомби-сетей, через которые рассылается спам и организуются DDOS-атаки. Прежде всего упрощаются средства управления. Раньше для этого использовались IRC-каналы, причем хакеры должны были сами писать специальные скрипты. Теперь же применяются средства с Web-интерфейсом, с которыми справится пользователь средней и даже не слишком высокой квалификации. При этом наблюдается тенденция к разукрупнению и децентрализации бот-сетей с целью затруднить борьбу с ними. При этом сама бот-сеть сохраняет централизованное управление, но разные ее сегменты решают различные задачи. Кроме того, все чаще стало применяться многократное заражение с тем, чтобы при детектировании одного из ботов сохранить данный компьютер в качестве узла зомби-сети.

Растет внимание вирусописателей и к Web, что показала недавняя эпидемия в Италии, где было заражено более 4500 сайтов, с которых, в свою очередь, вредоносное ПО класса «троянец-загрузчик» попадало на ПК посетителей этих ресурсов. На это указывают все ведущие антивирусные лаборатории мира. Электронная почта слишком долго была главным источником распространения вирусов и дискредитировала себя, в результате число «почтовых» червей и троянцев перестало расти. А вот количество уязвимостей в Web-браузерах и плагинах к ним меньше не стало. Так, по данным Symantec по сравнению с предыдущим годом оно утроилось. При этом появились бреши не только в ПО для Microsoft Windows, но и в Mac OS X, которая прежде считалась неуязвимой. А поскольку в троянцах, обнаруженных в «диком» виде, теперь используются методы социальной инженерии, можно ожидать, что число зараженных систем значительно увеличится. По мнению Михаила Кондрашина, руководителя центра компетенции TrendMicro в России, атаки через Web многовекторны и многокомпонентны, их труднее обнаружить (а значит, с ними сложнее бороться), они полиморфны и обладают многими функциями зомби-сети. Их вполне можно проводить в рамках мирового региона или отдельной страны, и эпидемия в Италии является тому очень хорошим примером. Web превратилась в главный проводник фарминговых и фишинговых атак, а также рекламного и шпионского ПО, которое, как видно из рисунка, имеет широчайшее распространение в России. Кроме того, как показал опрос, проведенный компаниями Softline и Symantec в октябре этого года именно Web склонны рассматривать в качестве источника заражения почти треть опрошенных.

По мнению Виталия Камлюка, получат развитие и троянцы, использующие Web 2.0. Тем более, что они будут способствовать заражению альтернативных платформ, популярность которых растет, что обуславливает рост интереса к ним вирусописателей.

Спам

В уходящем году в целом продолжились тенденции, характерные для предыдущего. Доля «мусорной» почты в рунете в первом полугодии колебалась на уровне 70—90%. При этом резкие провалы и значительные всплески, которые в 2006-м наблюдались в отдельные периоды, прекратились. Но в среднем доля «мусорной» почты несколько выросла. Как показал опрос Symantec и Softline, среди российских ИТ-специалистов доля тех, кто сталкивался со спамом, составляет 96%. В мировом масштабе тенденция к росту стала более явной: этот показатель вплотную приблизился к уровню 70% против 59% в прошлом году.

Основным способом обмана почтовых фильтров оставалось использование графики вместо текста. Однако появились и некоторые новшества. Так, например, начальник группы спам-аналитиков «Лаборатории Касперского» Анна Власова обращает внимание на следующие тенденции:

* отказ от пестрых фоновых изображений и редких шрифтов;
* исчезновение анимации (в 2006-м этот прием был весьма популярен для обхода OCR-плагинов);
* упаковка графики во вложенные файлы в формате Adobe Acrobat (привычный прием не только для формата .pdf, но и для fdf );
* использование некоторых приемов для маскировки отображения графики в сообщении (например, загрузка фона сообщения с заданного URL).

Рамиль Яфизов, старший технический консультант Symantec, обратил внимание на существенный рост спама, рассылаемого через сети мгновенного обмена сообщениями (Instant Messaging). Это связывается с активным продвижением данного средства в корпоративный сегмент и соответственно существенным ростом количества его пользователей.

Продолжалась тенденция к явной криминализации спама, в том числе и русскоязычного. Так, Анна Власова отмечает увеличение потока фишинговых сообщений. Имело место несколько таких рассылок в адрес вкладчиков Альфа-банк» и системы «Яндекс.Деньги». В мировом масштабе спам продолжали использовать для манипуляций с курсами акций (технология «накачка — сброс»). Причем действия контролирующих органов здесь не оказывали заметного влияния. Правда, еще в апреле нынешнего года была прекращена котировка на бирже акций 35 американских компаний, которые пользовались такого рода инструментами.

В уходящем году правоохранительные органы ряда стран провели несколько успешных операций против спамеров. Так, в сентябре было арестовано четыре спамера, которые занимались рассылками «накачка — сброс». Их доход превысил двадцать миллионов долларов. В Дании арестовали группу мошенников, рассылавших так называемые «нигерийские письма», — им удалось вытянуть из своих жертв более...

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2017 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.